[ed-ka]

Добрый день всем!

Строим сеть. Вышли на ФСБ. ФСБ хочет от нас, чтобы мы предоставили полный контроль над локалкой, т.е. контроль до такой степени, чтобы они могли пасти трафик двух абоненнтов в одном доме на одном коммутаторе. Схема построения сети у нас звезда, распределение IP это статический IP+МАС+привязка к порту коммутатора (длинк такое позволяет делать).

Как нам быть? Может кто уже сталкивался с подобным и как отмазался от этого?.

Я понимаю, контролировать инетовский трафик, но локалку...это же какой трафик попрет в сторону ФСБ

[Stak]

При сохранении существующей схемы построения сети - имхо никак не получится...

 

 

[lf]

это у вас какой-то режимный город?

или сейчас в России везде так принято?

 

[BiWiS]

загоняйте юзеров во вланы, все вланы гоните в ядро. в ядре весь траф с вланов зеркалируйте на порт для фсб.

а уж что там с этими пакетами будет не ваше дело, главное чтобы вы смогли все их отдать ;)

так должно быть в идеях которые прячутся за лицензионными требованиями

[mschedrin]

ФСБ хочет контролировать сразу все дома одновременно, или иногда, по заказу, какие-то определенные?

[UglyAdmin]

Чего бы им не хотеть, не они же за это платят...

[darkagent]

вариант а) врубить на всех клиентах traffic segmentation - тогда понятия "трафик между двумя абонентами в одном доме" не будет, как и локалки в целом.

вариант б) vlan-per-user + ipoe

вариант в) vlan-per-user + pppoe

вариант г) договоритесь что будете давать "по запросу" зеркало порта, а на ядре и агрегаторах включите netflow например, со сливанием добра в коллекторы.

 

[BiWiS]

у них там на юзеров длинки, так что вариант Г отпадает.

если уж делать то гнать всех к ядру.

[ed-ka]

Чаниковский вопрос, а как всех прогнать до ядра? ;)

[ed-ka]

у них там на юзеров длинки, так что вариант Г отпадает.

если уж делать то гнать всех к ядру.

Можно объяснить схему в этом случае, что и как будет?

[Alex/AT]

Каждому юзеру - свой VLAN, если проще. Если сеть большая - то QinQ на магистральных свитчах.